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(54) Verfahren zum gesicherten nachtraglichen Programmieren einer Mikroprozessorkarte fur 
eine zusStzliche Anwendung 



(57) Verlahren zum nachtraglichen Programmieren 
einer Mikroprozessorkarte fur ein zus^tzliche Anwen- 
dung, mit folgenden Schritten: Speichern eines Schliis- 
sels K in einem Speicher der nachtraglich zu 
programmierenden Mikroprozessorkarte, Erstellen 
einer Befehlssequenz. mtttels der die Mikroprozessor- 
karte fur die zusatzliche Anwendung konfigurierbar ist, 
Verschlussein der- Befehlssequenz derart, daB die 
Befehlssequenz mittels des Schlussels K entschlussel- 
bar ist, Speichern der verschlusselten Befehlssequenz 
auf einem DatentrSger. vorzugswelse einer weiteren 
Mikroprozessorkarte. Einrichten einer Datenkommuni- 
kation zwischen der nachtraglich zu programmierenden 
Mikroprozessorkarte und dem Datentrager bzw. der 
weiteren Mikroprozessorkarte. Durchfuhren eines 
Authentisierungsverfahrens zum Uberprufen. ob die 
nachtraglich zu programmierende Mikroprozessorkarte 
fur die nachtragliche Programmierung zugelassen ist. 
und/oder ob der Datentrager bzw. die zusatzliche Mikro- 
prozessorkarte fur die nachtragliche Programmierung 
zugelassen ist, bei erfolgreichem AbschluB der Authen- 
tisierung schrittweises Oder vollstandiges Ubertragen 
der verschlusselten Befehlssequenz von dem Datentra- 
ger bzw. der weiteren Mikroprozessorkarte an die nach- 
traglich zu programmierende Mikroprozessorkarte. 
Entschlussein der empfangenen. verschlusselten 
Befehlssequenz bzw. Befehlssequenzteile durch den 
Mikroprozessor der zu programmierenden Mikroprozes- 
sorkarte mittels des gespeicherten Schlussels K, Anle- 



gen von Datenstrukturen innerhalb eines freien 
Speicherbereiches der nachtraglich zu programmieren- 
den Mikroprozessorkarte entsprechend der Befehlsse- 
quenz, wodurch die Mikroprozessorkarte fur die 
zusatzliche Anwendung konfiguriert wird. 
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Beschreibung 

Die vorliegende Erfindung betrifft ein Verfahren 
2um gesicherten nachtrSglichen Programmieren einer 
Mikroprozessorkarte fur eine zusatziiche Anwendung. 

Ein Hauptanwendungsgebiet fur moderne Mikro- 
prozessorkarten liegt im Bankenberelch, wobei hier ins- 
besondere, Anwendungen zum Durchfuhren von 
Geldtransaktionen als auch zur Verwendung als elek- 
tronische Borse eine Rolle spielen. 

Mikroprozessorkarten weisen neben einer CPU, 
einem RAM und einem ROM ubiicherweise einen 
zusatzlichen Datenspeicher, vorzugsweise ein 
EEPROM, auf, das im Rahmen der Personalisierung 
der Karte anwendungsspezifisch beschrieben wird. 
Dieser spezielle Speicherbereich ist ubiicherweise so 
groB bemessen. daB nach der Korrfigurierung der Karte 
fur die Hauptanwendung noch Platz fiir weitere Anwen- 
dungen verbleibt. 

Derartige weitere Anwendungen kdnnen beispiels- 
weise in der Verwendung der Karte als Identtfikations- 
mittel (elektronischer Fahrschein) im dffentlichen 
BefCrderungsverkehr, als TrSger von speziellen Kun- 
dendaten fur Handelsketten (z.B. Bonussysteme) etc. 
liegen. 

Urn eine Mikroprozessorkarte, die originar fur den 
Bankenbereich ausgegeben wurde, auch fur derartige 
zusStzliche Anwendungen t>enutzen zu kOnnen, ist eine 
entsprechende Korrfigurierung der Karte erforderlich. 
Hierzu wurde bereits vorgeschlagen. den erwShnten 
freien Speicherbereich bereits bei der ursprunglichen 
Programmierung der Karte fiir eine Anzahl zusatzlicher 
Anwendungen aufzuteilen, und bereits die fur die 
Anwendungen notwendigen Datenstrukturen anzule- 
gen. Um die entsprechende Karte spSter fiir eine derar- 
tige Anwendung verwenden zu kdnnen. ist noch ein 
Treischalten" des entsprechend vorkonfigurierten 
Bereiches auf der Karte notwendig, was beispielsweise 
durch eine Schlusselabfrage erfolgen kann. 

Nachteilig an dieser bekannten Vorgehensweise ist 
die unflexibie Aufteilung des fur die zusatzlichen 
Anwendungen zur Vert ugung stehenden Speicherberei- 
ches. wcdurch sich keine anwendungsspezifische opti- 
male Aufteilung und somit optimale Benutzung des zur 
Verfugung stehenden Speicherplatzes erreichen Ia6t. 

Es ist die Aufgabe der vorliegenden Erfindung, ein 
Vertahren anzugeben, mit dem Mikroprozessorkarten in 
flexibler und abgesicherter Weise nach ihrer Ausgabe 
an die Kunden fur zusatziiche Anwendungen auch von 
Dritten konfiguriert werden kdnnen. 

Diese Aufgabe wird durch den Gegenstand des 
Patentanspruches 1 gel6st. 

Bevorzugte Ausgestaltungen der Erfindung sind 
Gegenstand der Unteranspruche. 

Die vorliegende Erfindung baut auf der Erkenntnis 
auf. daB es nachteilhaft ist. den auf einer Mikroprozes- 
sorkarte fur zusatziiche Anwendungen zur Verfugung 
stehenden freien Speicherptatz bereits wShrend der 



ursprunglichen Initialisierung Oder Personalisierung der 
Karte in vorbestimmte Felder aufzuteilen, unter 
Umstanden bereits mit bestimmten Datenstrukturen zu 
beschreiben und die entsprechend vorkonfigurierten 

5 Bereiche spater einzelnen Anwendungen zuzuweisen, 
GemaS der vorliegenden Erfindung ist eine Vor- 
strukturierung des freien Speicherbereiches nicht erfor- 
derlich, die Anpassung der Mikroprozessorkarte an 
eine zusatziiche Anwendung kann nachtrSglich noch zu 

10 dem Zeitpunkt erfolgen, zu dem entschieden wird, da3 
die Karte fur eine zusatziiche Anwendung venwendet 
werden soli. 

Im folgenden wird eine bevorzugte Ausfuhrungs- 
form des erfindungsgemaBen Verfahrens beschrieben. 
15 In einen Speicherbereich der Mikroprozessorkarte, 
die beispielsweise von einem Kreditinstitut ausgegeben 
wird, wird wahrend der ursprunglichen Personalisierung 
Oder Initialisierung ein Schlussel K eingeschrieben. der 
vorzugsweise, aber nicht notwendigerweise, alien Kar- 
20 ten, die von dem entsprechenden Kreditinstitut ausge- 
geben werden, gemeinsam ist. Diefertig personalisierte 
Karte weist bei ihrer Ausgabe an den Kunden inneitialb 
eines beschreibbaren Speichers, vorzugsweise eines 
EEPROMS. einen fur zusatziiche Anwendungen geeig- 
25 neten freien Speicherbereich auf, der zum gegenwarti- 
gen Entwicklungsstand beispielsweise einige Kitobyte 
groB sein kann. bei zukunftigen Chipgenerationen 
jedoch auch erheblich grdBer ausfallen kann. 

EntschlieBt sich der Kunde zu einem spater en Zeit- 
30 punkt, die Mikroprozessorkarte fur eine weitere Anwen- 
dung zu verwenden, beispielsweise als Zahlungsmittel 
fur ein Transportunternehmen oder eine Handelskette, 
so kann er die Karte bei einer geeigneten Stelle, vor- 
zugsweise bei dem Unternehmen selbst. auf das die 
35 Anwendung zugeschnitten ist, entsprechend nachpro- 
grammieren lassen. 

Die entsprechende Stelle verfugt Ober einen Daten- 
trager, auf dem eine Befehlssequenz gespeichert ist, 
mittels der der Mikroprozessor veranlaBt werden kann, 
40 in einem geeigneten Teil des freien Speicherbereiches 
Datenstrukturen anzulegen, durch die die Mikroprozes- 
sorkarte fOr die entsprechende zusatziiche Anwendung 
konfiguriert wird. 

Die auf den Datentrager der entsprechenden Stelle 
45 vorhandene Befehlssequenz muB somit an den Mikro- 
prozessor der Karte ubertragen werden, damit der 
Mikroprozessor die entsprechende Konfigurierung vor- 
nimmt. Aus Sicherheitsgrunden muB die entsprechende 
Programmsequenz auf geeignete Weise abgesichert, 
50 z.B. verschlussert zur Mikroprozessorkarte ubertragen 
werden. wobei die Mikroprozessorkarte mittels dem 
vorgespeicherten Schlussel K in der Lage ist. die 
Befehlssequenz zu entschlusseln. 

Daruber hinaus erfolgt vorzugsweise vor der eigent- 
55 lichen Datenubertragung eine Authentisierung. bei der 
festgestellt wird. ob die entsprechende Stelle berechtigt 
ist, eine Umprogrammierung der Mikroprozessorkarte 
durchzufuhren und/oder bei der festgestellt wird. ob die 
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Mikroprozessorkarte berechtigt ist. entsprechend 
umprogrammiert zu werden. Vorzugsweise ertolgt die 
Authentisierung entsprechend bekannter Verfahren 
unter Einbeziehung des in der Mikroprozessorkarte fur 
die EntschlQsselung abgelegten Schlussels K. 5 

Die Ubertragung der Befehlssequenz von denn bei 
der erwahnten Stelle vorhandenen Datentrager zur 
Mikroprozessorkarte hin ertolgt vorzugsweise unter 
Zwischenschattung eines geeigneten Terminals, in das 
die nachzukonfigurierende Mikroprozessorkarte einge- 10 
steckt wird. Vorzugsweise besteht der DatentrSger, auf 
dem die Befehlssequenz gespeichert ist, ebenfalls aus 
einer Mikroprozessorkarte und enth^lt die Befehlsse- 
quenz berelts in verschlusselter Form. Somit ist denk- 
bar, daB Filialen einer bestimmten Handelskette jeweils is 
im Besitz einer derartigen "TrSgerkarte" sind und durch 
die auf der TrSgerkarte verschlusselt gespeicherte 
Befehlssequenz mittels eines geeigneten Terminals auf 
eine entsprechende Mikroprozessorkarte ubertragen 
wird. Ein entsprechend geeignetes GerSt konnte somit 20 
sowohl einen Aufnahmebereich fur die Trdgerkarte ats 
auch einen Aufnahmebereich fur die Kundenkarte 
haben und die Kommunikation zur Durchfuhrung der 
Authentisierung sowie zur Ubertragung der auf der TrS- 
gerkarte verschlusselt abgelegten Befehlssequenz zur 25 
Kundenkarte hin unterstutzen. 

Da gemaB der bevorzugten Ausfuhrungsform die 
Befehlssequenz bereits verschlusselt auf der TrSger- 
karte gespeichert ist, ist selbst bei manipulativem Ein- 
griff in das die Kommunikation herstellenden Terminal 30 
eine Betrugsmoglichkeit weitgehend ausgeschlossen, 
da eine Entschlusselung der von der Tragerkarte gelie- 
ferten Oaten sowie ein Zugriff auf die zu programmie- 
rende Mikroprozessorkarte nur bei Kenntnis des 
entsprechend en Schlussels K moglich ist. 35 

Selbstverstandlich muB der DatentrSger, der die 
verschlusselte Befehlssequenz fur die Umprogrammie- 
rung enthait, nicht an jeder Stelle, an der die Umpro- 
grammierung der Mikroprozessorkarten mdglich ist, 
kbrperlich vorhanden sein; die entsprechenden Oaten 40 
konnen selbstverstandlich auch beispielsweise uber 
eine Modemverbindung von einer zentralen Stelle zu 
den einzelnen Stellen ubertragen werden. 

Was oben als Befehlssequenz bezeichnet wurde, 
kann selbstverstandlich nicht nur die eigentlichen 45 
Befehle, die der Mikroprozessor fur die entsprechende 
Konfigurierung bendtigt. umfassen. sondern auch alle 
Oaten, die fur die bestimmte Anwendung erforderlich 
sind. Derartige Oaten k6nnen beispielsweise ein Geld- 
guthabendaten. Schlussel fiir die Durchfuhrung von so 
Authentisierungsverfahren im Rahmen der zusdtzlichen 
Anwendungen etc. umfassen. 

GemdB der vorliegenden Erfindung werden die 
Oaten gesichert von dem DatentrSger bzw. der TrSger- 
karte zu der zu programmierenden Mikroprozessor- ss 
karte ubertragen. Die Sicherung erfolgt dabei derart. 
daB eine Endsicherung innerhalb der zu programmie- 
renden Mikroprozessorkarte mittels eines gespeicher- 
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ten Schlussels K mfiglich ist. Zur Sicherung kOnnen 
nicht nur die ubiichen Verschlusselungsverfahren ver- 
wendet werden, sondern auch alle gSngigen kryptogra- 
phischen Verfahren wie beispielsweise elektronische 
Signatur etc. 

Insoweit der Ausdruck "Programmieren" verwendet 
wurde, soli dieser nicht daraufhin beschrSnkt verstan- 
den werden, daB eine Programmierung auf Maschinen- 
sprachenebene erfolgt. Vielmehr und bevorzugterweise 
wird die Mikroprozessorkarte mittels hdherer Befehle 
zur Durchfuhrung der Neukonfiguration angesprochen, 
vorzugsweise mittels Befehlen die durch das Betriebs- 
system des entsprechenden Mikroprozessors bereltge- 
stellt werden. Die als Befehlssequenz bezeichneten 
Daten mussen dabei nicht notwendigerweise von dem 
Mikroprozessor direkt ausfuhrbare Befehlscodes auf- 
weisen, vielmehr besteht die Befehlsequenz allgemein 
ausgedruckt aus Information, durch die der Mikropro- 
zessor veranlaBt wird, die entsprechende Umkonfigura- 
tion vorzunehmen. 

GemSB dem vorliegenden Verfahren kann der auf 
einer Mikroprozessorkarte fur zus^tzliche Anwendun- 
gen anfSnglich zur Verfugung stehende Speicherbe- 
reich bytegenau unter beliebigen Anwendungen 
aufgeteilt werden. Eine Unterteilung des Bereiches in 
starre Fetder. die anschlieBend u.U. nur unvollstdndig 
genutzt werden, wird somit vermieden. 

Da mit Hilfedes vorliegenden Verfahrens alle M6g- 
lichkeiten des programmierbaren Mikroprozessors 
genutzt werden kCnnen. besteht zusatzlich die M6glich- 
keit. die Strukturierung der Oaten exakt nach den 
Bedurfnissen der Anwendung durchzufuhren bzw. 
sogar zusatzlichen Programmcode in die Karte einzu- 
bringen, der es gestattet, das Verhalten des Mikropro- 
zessors optimal an die neue Anwendung anzupassen. 

Gegenuber den bisher bekannten Verfahren weist 
das vorliegende Verfahren den Vorteil auf, daB die an 
den Mikroprozessor ubermittelte Information nicht miB- 
brSuchlich verwendet werden kann. daB zur Venwen- 
dung der ubermitielten Information keinertei Wissen 
uber die bereits auf der Karte gespeicherten Daten 
benOtigt wird, daB die zur Mikroprozessorkarte Qbermit- 
telte Information nicht manipuliert werden kann bzw. 
eine Manipulation sicher erkannt wird und schlieBlich 
daB die ubermittelte Information nur fur die dafOr vorge- 
sehenen Karten verwenctoar ist. da eine Verwendung 
der ubermittelten Information das Vorhandensein des 
Schlussels K auf der Karte bedingt. 

Patentanspruche 

1. Verfahren zum gesicherten nachtraglichen Pro- 
grammieren einer Mikroprozessorkarte fur ein 
zusatzliche Anwendung, mitfolgenden Schritten: 

Speichern eines Schlussels K in einem Spei- 
Cher der nachtrSglich zu programmierenden 
Mikroprozessorkarte. 



so 
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Erstellen einer Befehlssequenz. mittels derdie 
Mikroprozessorkarte fur die zusatzliche 
Anwendung konfigurierbar ist, 
Speichern der verschlusselten Belehlssequenz 
auf einem DatentrSger, vorzugsweise einer 
weiteren Mikroprozessorkarte. 
Einrichten einer Datenkommunikation zwi- 
schen der nachtrSglich zu programmierenden 
Mikroprozessorkarte und dem Datentrfiger 
bzw. der weiteren Mikroprozessorkarte, 
Durchfuhren eines Authentisierungsverfahrens 
2um Oberprufen, ob die nachtraglich zu pro- 
grammierende Mikroprozessorkarte fur die 
nachtrSgliche Programmierung zugelassen ist, 
und/oder ob der Datentrager bzw. die zusatzli- 
che Mikroprozessorkarte fur die nachtr^gliche 
Programmierung zugelassen ist, 
bei erfolgreichem Abschlu3 der Authentisie- 
rung schrlttweises Oder vollstSndiges Ubertra- 
gen der Befehlssequenz in gesicherter Form 
von dem Datentrager bzw. der weiteren Mikro- 
prozessorkarte an die nachtraglich zu pro- 
grammierende Mikroprozessorkarte, 
Entsichern der empfangenen, gesicherten 
Belehlssequenz bzw. Befehlssequenzteile 
durch den Mikroprozessor der zu programmie- 
renden Mikroprozessorkarte mittels des 
gespeicherten Schlussels K, 
Aniegen von Daten und/oder Programmstruk- 
turen innerhalb eines freien Speicherbereiches 
der nachtraglich zu programmierenden Mikro- 
prozessorkarte entsprechend der Befehlsse- 
quenz, wodurch die Mikroprozessorkarte fur 
die zusatzliche Anwendung konfigurlert wird. 

Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daR die Befehlssequenz bereits in gesi- 
cherter Form auf dem Datentrager bzw. der 
weiteren Mikroprozessorkarte gespeichert wird. 
derart. da6 eine Entsicherung mittels des Schlus- 
sels K mOglich ist. 
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7. 



Che, dadurch gekennzeichnet, daB die nachtragli- 
che Programmierung in einem Terminal 
durchgefuhrt wird, in das sowohl die zu program- 
mierende Mikroprozessorkarte als auch die weitere 
Mikroprozessorkarte eingesteckt werden und das 
die Datenkommunikation zwischen den Karten 
ermCglicht. 

Verfahren nach einem der vorhergehenden Anspru- 
che. dadurch gekennzeichnet, daf3 die verschlus* 
selte Befehlssequenz die fur die entsprechende 
Anwendung notwendigen Daten enthait. 



Verfahren nach Anspruch 1 oder 2. dadurch 
gekennzeichnet. daB die Sicherung mittels krypto- 
graphischer Verfahren erfolgt, vorzugsweise mittels 45 
geeigneter Verschlusselungsverfahren. 



4. Verfahren nach einem der Anspruche 1 bis 3. 
dadurch gekennzeichnet. daB in das Authentisie- 
rungsverfahren ebenfalls der Schlussel K einbezo- 
gen ist. 



so 



5. 



Verfahren nach einem der Anspruche 1 bis 4. 
dadurch gekennzeichnet. daB der Schlussel K wah- 
rend der ersten Personalisierung der Karte gespei- ss 
chert wird. 



6, Verfahren nach einem der vorhergehenden Anspru- 
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